关于手机的隐私保护

关于手机IMEI
根据IMEI就可以进行基站定位,找出此手机曾经用过的SIM卡。
所以建议用山寨鸡,因为你懂的,山寨鸡IMEI有时候是会相同的,这就是为何欧美国家不允许山寨鸡进入国土,因为国家没法进行定位,以定位,尼马,满地图都是。。
即使你说你的SIM卡,或者之前用过的SIM卡都是没有实名的,那么好,查你的通话记录,你给你亲人,或者现实朋友打电话,通话记录都是有的。。一个一个确认就可以  继续阅读关于手机的隐私保护

Ecshop最新注入0day分析报告

今天习惯性的到处逛,看看文章。看到了360爆的一个ecshop 支付宝支付插件的注入漏洞,照例的分析下,360的团队还是挺赞的。

由于漏洞源于ecshop的支付宝支付插件,所有利用前提是站点安装此插件,利用不受GPC影响。

漏洞核心代码在\includes\modules\payment\alipay.php 文件 respond()函数,第215行。

继续阅读Ecshop最新注入0day分析报告

php文件包含漏洞的解决方法

现在程序代码写的越来越千奇百怪,就一种文件包含的代码就能写出2种:require include

先说require 如果出错则终止输出,include 如果出错则继续执行。

如果一个网站的管理用户写在auth.php里,且auth.php被恶意删除了,如果用require则没有漏洞。

如果用include则产生漏洞,这是为什么?因为Include在遇到错误时会继续执行,这样用户密码就为空,就进入了后台。

再如果 一个网站 查看一条公告是链接式index.php?act=view&file=gonggao.php 继续阅读php文件包含漏洞的解决方法

通杀wordpress 暴路径漏洞

缺陷文件:

http://www.akg.pw/wp-includes/registration-functions.php

关键代码 :
—->
<?php
/**
* Deprecated. No longer needed.
*
* @package WordPress
*/
_deprecated_file( basename(__FILE__), ’2.1′, null, __( ‘This file no longer needs to be included.’ ) );
?>
—–> 继续阅读通杀wordpress 暴路径漏洞

关于网站安全的一些思考

[ 目录 ]
0×00 引语
0×01 个人信息安全
0×02 域名安全
0×03 服务器安全

0×00 引语
在网络世界中,我们不得不叹服网络的便捷性适应性,但是在此同时网络安全值得我们深思,一下提出一些关于服务器,个人信息安全的一些见解。 继续阅读关于网站安全的一些思考

影响企业IT安全的网络威胁Top10

根据安全服务供应商Trustwave的研究数据显示,虽然很多应用程序漏洞都是已知的且可被阻止的,但很多企业都没有部署安全编码做法或定期测试其应用程序来查找漏洞。Trustwave事件响应和取证主管Chris Pogue表示,如果企业忽视这些基本的网络安全做法,他们根本无法阻止更高级的攻击。

继续阅读影响企业IT安全的网络威胁Top10

PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支持VPN协议。 继续阅读PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别